Datenschutz tegut… teo

Datenschutzinformation Videoüberwachung und Zugangsterminal

Nutzungsbedingungen tegut... teo & tegut... teo App

tegut... teo Hausordnung

1. Verantwortliche

Die tegut… gute Lebensmittel GmbH & Co. KG (kurz: tegut…, wir, uns) ist Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Betriebs der tegut… teo App und Ihrer Besuche in unseren tegut… teos, unseren Smart Stores für die Vor-Ort-Versorgung.

Unsere tegut… teos sind teils mit einer Scan & Go Technik ausgestattet, teils mit einer Grab & Go Technik. Wenn ein tegut… teo mit einer Grab & Go Technik ausgestattet ist, wird dies am Eingang des jeweiligen tegut… teo ausdrücklich mitgeteilt.

Soweit Sie einen tegut…. teo besuchen, der mit einer Grab & Go Technik ausgestattet ist, ist die Autonomo GmbH (kurz: Autonomo) – im unten näher beschriebenen Umfang – gemeinsam Verantwortliche mit uns für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Zutritts (Ziffer 2.b.(2)), des Einkaufs (Ziffer 2.c.(2)), der Bezahlung (Ziffer 2.d.(2)), und der Reklamation (Ziffer 2.f.).  Eine Vereinbarung über die gemeinsame Verantwortlichkeit wurde geschlossen (Art. 26 DSGVO). Betroffenenrechte können Sie entsprechend Ziffer 7.  und Ziffer 8.  ausüben.

Im Übrigen ist – soweit nicht anders angegeben – tegut… im Rahmen nachfolgender Beschreibungen alleinig verantwortlich.

Sie erreichen uns und unseren Datenschutzbeauftragten per E-Mail unter datenschutzbeauftragter@tegut.com oder per Post unter tegut… gute Lebensmittel GmbH & Co. KG, Abteilung Datenschutz, Gerloser Weg 72, 36039 Fulda.
Sie erreichen Autonomo und ihren Datenschutzbeauftragten per E-Mail unter dsb@secjur.com oder per Post unter secjur GmbH, Steinhöft 9, 20459 Hamburg.

a. Registrierung und Anmeldung in Ihrer tegut… teo App

Wenn Sie die Funktionen unserer tegut… teo App nutzen wollen, müssen Sie sich zunächst registrieren und ein tegut… Konto anlegen. Hierzu teilen Sie uns Ihre Anrede (optional), Ihren Namen, Vornamen, Ihre E-Mail-Adresse, Ihre Mobilfunknummer sowie Ihr Geburtsdatum mit.

Ihr Geburtsdatum fragen wir ab, um Ihr für Vertragsschlüsse im tegut… teo grundsätzlich erforderliches Mindestalter festzustellen. Mithilfe des von Ihnen individuell vergebenen Passwortes und Ihrer E-Mail-Adresse (Zugangsdaten) können Sie sich nach Ihrer Registrierung in Ihrem Konto anmelden („einloggen“) und sodann die Funktionen der tegut… teo App nutzen.

Ihre Mobilfunknummer fragen wir ab, um die Wahrscheinlichkeit der missbräuchlichen Nutzung des tegut… teo (siehe unsere Hausordnung) zu reduzieren bzw. bei missbräuchlicher Nutzung des tegut… teo die Wahrscheinlichkeit einer Identifikation zu erhöhen (über Strafverfolgungsbehörden, s. unten Ziffer 3.).

Damit Sie sich nicht bei jedem Aufruf der tegut… teo App neu einloggen müssen, ist es erforderlich, dass wir beim Login zeitlich begrenzte Zugriffsschlüssel in der App und auf Ihrem Endgerät speichern, bis Sie sich wieder abmelden („ausloggen“).

Um sog. Dubletten in unserem Hause zu vermeiden, ordnen wir Ihre Angaben aus der Registrierung, soweit möglich einem etwaig von Ihnen bereits bei uns bestehenden Kundendatensatz bzw. tegut… Konto zu (Grundsatz der Datenminimierung). Sofern Sie bereits ein Konto bei tegut… besitzen, müssen Sie dieses und die hinterlegten Zugangsdaten nutzen. Vergessene Zugangsdaten können Sie zurücksetzen. Mit Ihrem – neu angelegten oder bereits vorhandenen – tegut… Konto können Sie neben der tegut… teo App auch andere tegut… Services bzw. Apps nutzen, sofern Sie diese gesondert für sich aktivieren. Für jede/n genutzte/n Service bzw. App wird systemseitig ein „Unter-Konto“ angelegt (hier: „tegut… teo Account“), welche/s auch separat deaktiviert/gelöscht werden kann/können (dazu unten Ziffer 5.).

tegut… wird personenbezogene Daten aus der Nutzung des tegut… teo oder der tegut… teo App nicht ohne Rechtsgrundlage und gesondert mitgeteilte Datenschutzinformationen für werbliche Zwecke verarbeiten.

Zur Verifizierung Ihrer E-Mail-Adresse bei Ihrer Registrierung erhalten Sie eine Bestätigungsaufforderung an die angegebene E-Mail-Adresse. Entsprechend erhalten Sie auch an Ihre Mobilfunknummer einen Code per SMS, den Sie dann in der dafür vorgesehenen Eingabemaske in der tegut… teo App eingeben müssen, um Ihre Registrierung abschließen zu können. Diese Datenverarbeitungen im Rahmen der Registrierung und Anmeldung finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, f DSGVO, § 25 Abs. 2 Nr. 2 TTDSG. Soweit wir Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeiten, ist dies die Vermeidung doppelter Datensätze sowie die Reduzierung und Ihre Identifikation bei missbräuchlicher Nutzung des tegut… teo.

Sie können tegut… teos auch ohne Registrierung und Anmeldung in der tegut… teo App nutzen, mithin durch Einsatz Ihrer Giro- oder Kreditkarte.

b. Zutritt zum tegut… teo

Wenn Sie über die tegut… teo App Zutritt zum tegut… teo erlangen möchten, müssen Sie nach Ihrer Standortfreigabe auf Ihrem Endgerät (GPS) die tegut… teo App den nächstgelegenen tegut… teo finden lassen (hierzu Ziffer 2.j., „Anzeige und Auswahl des/r tegut… teo/s“) im Einzelnen siehe unten Ziffer 2.j.), und diesen tegut… teo sodann in der tegut… teo App auswählen. Statt der tegut… teo App können Sie auch Ihre Giro- oder Kreditkarte als Zutrittsmittel nutzen.

(1) Zutritt zu einem tegut… teo mit Scan & Go Technik

Möchten Sie einen tegut… teo besuchen, der mit Scan & Go Technik ausgestattet ist, erlaubt Ihnen bei Nutzung der tegut… teo App - nach Ihrer vorgenannten Standortwahl - ein durch uns individuell generierter QR-Code einen einmaligen Zutritt zum gewählten tegut… teo über unser dortiges sog. Zugangsterminal. Im Falle des Einsatzes Ihrer Giro- oder Kreditkarte sind es bestimmte, in der Karte hinterlegten – aus Sicherheitsgründen hier nicht näher beschriebene – Informationen, die grundsätzlich einen Zutritt über das Zugangsterminal ermöglichen.

Vor der Erteilung der Erlaubnis wird durch uns jedoch Ihre Zutritts-Berechtigung geprüft (durch Abgleich unserer Sperrliste, dazu sogleich).

Ihr Zutrittsersuchen wird uns durch die auf Ihrem Endgerät installierte tegut… teo App kommuniziert und wir speichern dieses zusammen mit dem entsprechenden Zeitpunkt für einige Tage in den von uns eingesetzten Systemen. Wenn Sie nicht die tegut… teo App als Zutrittsmittel nutzen, sondern Ihre Giro- oder Kreditkarte, speichern wir Ihr Zutrittsersuchen mit dem entsprechenden Zeitpunkt hingegen zusammen mit Karteninformationen (die sog. Primary Account Number oder Kreditkartennummer) für einige Tage in den von uns eingesetzten Systemen – und natürlich auch hier dem Schutzbedarf entsprechend angemessen gesichert.

Im Falle der missbräuchlichen Nutzung des tegut… teo (siehe unsere Hausordnung) können wir je nach genutztem Zutrittsmittel Ihre tegut… teo App für einen Zutritt zum tegut… teo für einen bestimmten Zeitraum sperren (Aufnahme in Sperrliste), dergleichen die entsprechende Giro- oder Kreditkarte. Eine missbräuchliche Nutzung können wir anhand der von uns eingesetzten Videoüberwachung bei entsprechendem Anlass feststellen.

Diese Datenverarbeitungen im Rahmen des Zutritts zum tegut… teo finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, f DSGVO, §§ 13, 25 Abs. 2 Nr. 2 TTDSG. Soweit wir Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeiten, ist dies ein möglichst einfacher Zutritt und ein möglichst gutes Erlebnis des Besuchs des tegut… teo durch Sie sowie – im Hinblick auf die Speicherung des Zutritts und einer Sperrung des Zutrittsmittels – die Wahrnehmung des Hausrechts, der Schutz unseres Eigentums und des Eigentums unserer Kunden, die Geltendmachung von entsprechenden zivilrechtlichen Ansprüchen, der Schutz vor strafrechtlich relevanten Delikten als präventive Maßnahme und die Beweissicherung bei strafrechtlich relevanten Delikten.

(2) Zutritt zu einem tegut… teo mit Grab & Go Technik (Gemeinsame Verantwortlichkeit)

Möchten Sie einen tegut… teo besuchen, der mit Grab & Go Technik ausgestattet ist, erlaubt Ihnen bei Nutzung der tegut… teo App - nach Ihrer vorgenannten Standortwahl - ein individuell generierter QR-Code einen einmaligen Zutritt zum gewählten tegut… teo über dortiges sog. Zugangsterminal. Im Falle des Einsatzes Ihrer Giro- oder Kreditkarte sind es bestimmte, in der Karte hinterlegte – aus Sicherheitsgründen hier nicht näher beschriebene – Informationen, die grundsätzlich einen Zutritt über das Zugangsterminal ermöglichen.

Vor der Erteilung der Erlaubnis des Zutritts wird jedoch Ihre Berechtigung geprüft (Abgleich unserer Sperrliste, vgl. oben (1)). Im Falle des Einsatzes der tegut… teo App wird zudem geprüft, ob in der App erforderliche Karteninformationen bzw. Kontoverbindung (Kartendaten) hinterlegt sind (dazu 2.e.(2)). Soweit Sie Begleiter am Zugangssterminal angeben, werden Ihnen diese zugeordnet (dazu Ziffer 2.3.1. der Nutzungsbedingungen).

Ihr Zutrittsersuchen wird entsprechend Ziffer (1) mit dort genannten Informationen für dort genannte Zwecke gespeichert und verarbeitet. Dergleichen gilt für den Fall einer missbräuchlichen Nutzung des tegut… teo, welche die Aufnahme in die Sperrliste zu Folge haben kann.

Zudem erfolgt vor Erlaubnis des Zutritts eine sog. Präautorisierung Ihres gewählten Zahlungsmittels. Hierzu werden erforderliche Karteninformationen und eine bestimmte zu präautorisierende Summe an den beteiligten Zahlungsdienstleister (s. unten Ziffer 2.e.(2)) weitergegeben. Mit erfolgter Präautorisierung wird für Sie für den Einkauf ein virtueller Warenkorb eröffnet (dazu unten Ziffer 2.c.(2)).

Diese Datenverarbeitungen im Rahmen des Zutritts zum tegut… teo finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, f DSGVO, §§ 13, 25 Abs. 2 Nr. 2 TTDSG. Soweit Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeitet werden, ist dies ein möglichst einfacher Zutritt und ein möglichst gutes Erlebnis des Besuchs des tegut… teo durch Sie sowie seitens tegut… – im Hinblick auf die Speicherung des Zutritts und einer Sperrung des Zutrittsmittels – die Wahrnehmung des Hausrechts, der Schutz des Eigentums, auch von Kunden, die Geltendmachung von entsprechenden zivilrechtlichen Ansprüchen, der Schutz vor strafrechtlich relevanten Delikten als präventive Maßnahme und die Beweissicherung bei strafrechtlich relevanten Delikten.

Zuständigkeiten zur gemeinsamen Verantwortlichkeit: Autonomo ist zuständig für Datenverarbeitungen im Rahmen des Betriebs des Zugangsterminals und der Anfrage der Zutrittsberechtigung. Zudem sind Autonomo und tegut… zuständig für bestimmte Datenverarbeitungen beim Abgleich einer angefragten Zutrittsberechtigung sowie der Präautorisierung.

(1) Scannen und Kaufen von Artikeln in einem tegut… teo mit Scan & Go Technik

Um Artikel über die tegut… teo App scannen zu können, ist ein Zugriff der tegut… teo App auf die Kamera Ihres Endgeräts erforderlich. Mit der tegut… teo App gescannte oder über die tegut… teo App hinzugefügte Artikel werden in Ihrem Warenkorb zunächst lokal in Ihrer tegut… teo App hinterlegt. Wenn Sie Ihre im Warenkorb enthaltenen Artikel kaufen und bezahlen wollen, können Sie eine direkte Verbindung mit Ihrer tegut… teo App zu unseren Servern aufbauen und über Ihre tegut… teo App den Kauf abschließen oder Ihren Warenkorb auf unser sog. Bezahlterminal (Selbstbedienungskasse) übertragen und dort den Kauf abschließen (zur Datenverarbeitung beim Bezahlen s. unten Ziffer 2.e.(1)). In beiden Fällen erfahren wir von Ihrem Kaufwunsch entsprechender Artikel. Sie können Artikel aber auch direkt am Bezahlterminal scannen.

Diese Datenverarbeitungen im Rahmen des Scannens und Kaufens von Artikeln finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 a, b, f DSGVO, § 25 Abs. 1, 2 Nr. 2 TTDSG. Soweit wir Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeiten, ist dies ein möglichst gutes Erlebnis des Besuchs des tegut… teo durch Sie.

(2) Einkauf in einem tegut… teo mit Grab & Go Technik (Gemeinsame Verantwortlichkeit)

Bei Betreten eines tegut… teo, der mit der Grab & Go Technik ausgestattet ist, werden Sie (und Ihre Begleiter) durch die im tegut… teo eingesetzten Kameras erfasst und im tegut… teo verfolgt, um Ihnen entnommene Artikel zuordnen zu können. Dabei werden Körperbewegungen, -positionen und -ausrichtungen (z.B. ausgestreckter Arm zum Regal, Positionierung der Füße, Ausrichtung des Gesichts) nachvollzogen und auch Ihr Bild (inkl. Kleidung und deren Farbe) verarbeitet (zusammen: Bilddaten). Es werden hierzu keine biometrischen Daten zur eindeutigen Identifizierung Ihrer Person (oder der Ihrer Begleiter) verarbeitet (also keine sog. Art. 9 Abs. 1 DSGVO-Daten), wobei nicht ausgeschlossen ist, dass biometrische Daten im Sinne des Art. 4 Nr. 14 DSGVO an sich betroffen sind. Vielmehr wird das Gesicht als Teil des Bildes bei der Verarbeitung unkenntlich gemacht, wobei die Ausrichtung des Gesichts erkennbar bleibt. Zudem wird im tegut… teo eine Regalsensorik eingesetzt, welche ebenso Artikelentnahmen erkennt. Diese Sensorik und die verarbeiteten Bilddaten wie entsprechende Körperbewegung, -position oder -ausrichtung können Ihnen Artikel zuordnen.

Ihnen zugeordnete Artikel werden in Ihrem virtuellen Warenkorb geführt. Ihren virtuellen Warenkorb können Sie während des Einkaufs nicht einsehen. Die Zuordnung des virtuellen Warenkorbs im tegut… teo erfolgt anhand einer pseudonymen Nummer (sog. Warenkorb-ID). Die Zuordnung zum - ggf. präautorisierten - Zahlungsmittel (dazu oben Ziffer 2.b.(2)). erfolgt erst später (dazu unten Ziffer 2.e.(2)). Eine Warenkorb-ID wird zufällig generiert und für jeden Einkauf neu vergeben.

Wenn Sie Ihren Einkauf beenden wollen, können Sie und Ihre Begleiter einfach den tegut… teo verlassen (durch die geöffnete Schiebetüre; in Indoor-teos durch das Gate), ohne etwa zu einer Kasse zu gehen. Die Verfolgung mit den Kameras für den Zweck des Einkaufs endet mit Verlassen des tegut… teos.

Der Vorgang der Erfassung und Verfolgung zur Zuordnung entnommener Artikel und die darauf basierende Berechnung und Listung von aus dem tegut… teo entnommenen Artikeln mit den jeweiligen Preisen zur Erstellung des Kassenbelegs (dazu unten Ziffer 2.e.(2)) geschieht mit Unterstützung einer sog. Künstlichen Intelligenz (KI). Es handelt sich dabei um eine automatisierte Technologie. Es werden im Ergebnis automatisch Kassenbelege erstellt, ohne dass ein Mensch eingreift. Im Falle von Unsicherheiten im Einzelfall erfolgt jedoch eine manuelle Überprüfung durch einen geschulten zuständigen Mitarbeiter. Ebenso haben Sie die Möglichkeit zu reklamieren, mit der Folge, dass ein zuständiger Mitarbeiter den Vorgang überprüft (dazu unten Ziffer 2.f.).

Die Verfolgung und Erfassung erfolgt ausdrücklich nicht, um Aspekte einer natürlichen Person, wie persönliche Vorlieben, Interessen oder Verhalten, zu analysieren oder vorherzusagen, um die Person werblich ideal anzusprechen.

Für hiesige Zwecke erhobene Bilddaten werden regelmäßig binnen einiger Tage gelöscht (d.h. mindestens anonymisiert), sofern keine besonderen Vorkommnisse eine längere Aufzeichnung erforderlich machen (z.B. Reklamation, dazu unten Ziffer 2.f.).

Diese Datenverarbeitungen im Rahmen des Einkaufs finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, f DSGVO. Soweit Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeitet werden, ist dies der Wunsch der Begleiter, mit einzukaufen und eine ordentliche Zuordnung dieser zum passenden virtuellen Warenkorb.

Zuständigkeiten zur gemeinsamen Verantwortlichkeit: Autonomo ist zuständig für Datenverarbeitungen im Rahmen der KI-unterstützten Erfassung und Verfolgung der betroffenen Personen zur Zuordnung entnommener Artikel, die Erstellung eines virtuellen Warenkorbs und die Löschung der entsprechenden Bilddaten aus dem Einkauf.

Für Datenverarbeitungen im Rahmen der allgemeinen Videoüberwachung durch tegut… gelten die gesonderten Datenschutzhinweise. Soweit Autonomo Bilddaten aus dem Einkauf zur Optimierung (Weiterentwicklung) der eingesetzten KI nutzt, geschieht dies in deren eigener Verantwortlichkeit und unter vorheriger Anonymisierung der personenbezogenen Daten.

d. Altersverifikation

Bei der Abgabe bestimmter Artikel (z.B. Tabakwaren, Alkohol) sind wir gesetzlich verpflichtet (§§ 9, 10 JuSchG) sicherzustellen, dass Sie ein bestimmtes Alter erreicht haben. Daher nehmen wir beim Kaufwunsch solcher Artikel eine Altersverifikation vor, die die Mitteilung bestimmter Daten Ihrerseits verlangt (Art. 6 Abs. 1 f DSGVO). Unser berechtigtes Interesse bei der Verarbeitung Ihrer Daten ist die Beachtung des gesetzlichen Verbots, bestimmte Artikel an Minderjährige abzugeben.

(1) Bezahlen in einem tegut… teo mit Scan & Go Technik

Wir bieten Ihnen verschiedene Möglichkeiten, Ihre Einkäufe in einem Scan & Go tegut… teo zu bezahlen. Entweder Sie zahlen direkt über die tegut… teo App oder am sog. Bezahlterminal (Selbstbedienungskasse).      

Wenn Sie direkt über die tegut… teo App zahlen wollen, dann können Sie in der tegut… teo App Ihre Karteninformationen bzw. Kontoverbindung (Kartendaten) hinterlegen. Eingegebene Kredit-Karteninformationen werden nicht in Klarform in der tegut… teo App gespeichert, sondern entsprechend geltenden Richtlinien (PCI) verschlüsselt bei unserem Netzbetreiber (s. sogleich unten Empfänger; wird der Netzbetreiber gewechselt, werden die Karteninformationen im erforderlichen Umfang erneut abgefragt), Kontoverbindungsdaten hingegen verschlüsselt in der tegut… teo App (und gekürzt im Kassenbon). In der tegut… teo App wird nur ein sog. Token pseudonym und verschlüsselt gespeichert, über den die Kreditkarteninformationen beim Netzbetreiber abgerufen und für die Zahlung freigegeben werden können. Die IP-Adresse wird außerdem nach wenigen Tagen anonymisiert bzw. gelöscht.

Je nach beim Bezahlvorgang gewähltem Zahlungsverfahren (tegut… teo App oder Selbstbedienungskasse) und dessen erfolgreicher oder nicht erfolgreicher Durchführung werden bestimmte personenbezogene Daten verarbeitet (z. B. Kaufdatum, -uhrzeit und -betrag, tegut… teo Standort, Terminal-ID, Karteninformationen, Kontoverbindung inkl. Vorname und Name (SEPA), IP-Adresse, App-ID, Bank sowie ggfs. offene Forderungen, entsprechende Gebühren und Adressdaten). Zur Verarbeitung von Karteninformationen bei Verwendung Ihrer Giro- oder Kreditkarte als Zutrittsmittel s. Ziffer 2.b.(1).

Die Datenverarbeitungen finden statt, um allgemein Zahlungen annehmen, prüfen und abwickeln zu können, Kartenmissbrauch zu verhindern und IT-Systeme zu schützen, das Risiko von Zahlungsausfällen zu verringern, offene Forderungen einzutreiben und gesetzliche Vorgaben zu erfüllen (z. B. steuer-/handelsrechtliche Aufbewahrung, Geldwäschebekämpfung, Strafverfolgung, dazu Ziffer 3.).

Zu diesen Zwecken werden die Daten auch an weitere Verantwortliche übermittelt (s. nachfolgenden Absatz). Ebenso können Ihre von uns verarbeiteten Daten von diesen stammen. Die Datenverarbeitungen finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, c und f DSGVO, § 25 Abs. 2 Nr. 2 TTDSG. Soweit wir Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeiten, ist dies die Gewährleistung einfacher und sicherer Zahlungsmöglichkeiten im tegut… teo, der Schutz unseres wirtschaftlichen Risikos sowie das Interesse an einem arbeitsteiligen Wirtschaften (Einbindung von spezialisierten Dienstleistern).

Um mit Karten sicher bezahlen zu können, sind viele Schritte notwendig. Ihre personenbezogenen Daten werden daher im Zahlungsprozess im erforderlichen Umfang auch an folgende Kategorien von Empfängern, die Ihre Daten in deren Aufgabenbereich im Rahmen der Kartenzahlung jeweils eigenverantwortlich verarbeiten, übermittelt: bei allen Zahlungen über das von uns genutzte Kassensoftwaresystem eines beauftragten Dienstleisters an einen Netzbetreiber (Payone GmbH) sowie an Ihre und unsere Hausbank; bei Debit- oder Kreditkartenzahlungen an Ihre Kreditkartenorganisation (Visa/Mastercard) und den sog. Acquirer (Payone GmbH); bei Zahlungen mit Ihrer American-Express-Kreditkarte an American Express (ggfs. mit Übermittlung in die USA).

Für Mitarbeiter von tegut… steht eine weitere Zahlmöglichkeit zur Verfügung (Mitarbeiterkarte). Diese Möglichkeit wird mit den Mitarbeitern gesondert kommuniziert.

(2) Bezahlen in einem tegut… teo mit Grab & Go Technik (Gemeinsame Verantwortlichkeit)

Sobald Sie (und Ihre Begleiter) den tegut… teo verlassen, mithin Ihren Einkauf beenden, wird der Ihnen zugeordnete virtuelle Warenkorb (s. oben Ziffer 2.c. (2)) finalisiert. Hierzu werden Ihnen zugeordnete und aus dem tegut… teo genommene Artikel mit den jeweiligen Preisen - zusammen mit Ihrer Warenkorb-ID – berechnet und gelistet, wie unter Ziffer 2.c. (2) beschrieben.

Der finale virtuelle Warenkorb wird sodann anhand der Warenkorb-ID dem – ggf. präautorisierten – Zahlungsmittel (s. oben Ziffer 2.b.(2)) zugeordnet. Dieses Zahlungsmittel wird sodann automatisiert belastet. Der virtuelle Warenkorb wird noch einige Tage mit den oben genannten Bilddaten aufbewahrt (s. Ziffer 2.c.(2)) und anschließend zusammen gelöscht.

In tegut… teos, die mit Grab & Go Technik ausgestattet sind, können Sie als Zahlungsmittel Ihre Kredit- oder Girokarte nutzen. Wenn Sie die tegut… teo App nicht nutzen möchten, können Sie bei Ihrem Zutritt am Zugangsterminal Ihre Giro- oder Kreditkarte als Zahlungsmittel erfassen lassen (s. Ziffer 2.b.(2)).

Wenn Sie direkt über die tegut… teo App zahlen wollen, dann können Sie in der tegut… teo App Ihre entsprechenden Karteninformationen bzw. Kontoverbindung (Kartendaten) hinterlegen. Die Speicherung der hinterlegten Kartendaten in der tegut… teo App erfolgt entsprechend Ziffer 2.e.(1).

Im Übrigen erfolgt die Belastung je nach gewähltem Zahlungsverfahren (Giro- oder Kreditkarte am Zugangsterminal / über tegut… teo App) und dessen erfolgreicher oder nicht erfolgreicher Durchführung. Entsprechend werden bestimmte personenbezogene Daten verarbeitet (z. B. Kaufdatum, -uhrzeit und -betrag, tegut… teo Standort, Terminal-ID, Karteninformationen, Kontoverbindung inkl. Vorname und Name (SEPA), IP-Adresse, App-ID, Bank sowie ggfs. offene Forderungen, entsprechende Gebühren und Adressdaten). Zur Verarbeitung von Karteninformationen bei Verwendung Ihrer Giro- oder Kreditkarte als Zutrittsmittel s. Ziffer 2.b.(2).

Die Datenverarbeitungen finden statt, um allgemein Zahlungen annehmen, prüfen und abwickeln zu können, Kartenmissbrauch zu verhindern und IT-Systeme zu schützen, das Risiko von Zahlungsausfällen zu verringern, offene Forderungen einzutreiben und gesetzliche Vorgaben zu erfüllen (z. B. steuer-/handelsrechtliche Aufbewahrung, Geldwäschebekämpfung, dazu Ziffer 3.).

Zu diesen Zwecken werden die Daten auch an weitere Verantwortliche übermittelt (s. nachfolgenden Absatz). Ebenso können Ihre verarbeiteten Daten von diesen stammen. Die Datenverarbeitungen finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, c und f DSGVO, § 25 Abs. 2 Nr. 2 TTDSG. Soweit Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeitet werden, ist dies die Gewährleistung einfacher und sicherer Zahlungsmöglichkeiten im tegut… teo, der Schutz unseres wirtschaftlichen Risikos sowie das Interesse an einem arbeitsteiligen Wirtschaften (Einbindung von spezialisierten Dienstleistern).

Um mit Karten sicher bezahlen zu können, sind viele Schritte notwendig. Ihre personenbezogenen Daten werden daher im Zahlungsprozess im erforderlichen Umfang auch an folgende Kategorien von Empfängern, die Ihre Daten in deren Aufgabenbereich im Rahmen der Kartenzahlung jeweils eigenverantwortlich verarbeiten (außerhalb der gemeinsamen Verantwortung von tegut… und Autonomo), übermittelt: bei allen Zahlungen über das genutzte Kassensoftwaresystem eines beauftragten Dienstleisters an einen Netzbetreiber (Payone GmbH) sowie an Ihre und unsere Hausbank; bei Debit- oder Kreditkartenzahlungen an Ihre Kreditkartenorganisation (Visa/Mastercard) und den sog. Acquirer (Payone GmbH); bei Zahlungen mit Ihrer American-Express-Kreditkarte an American Express (ggfs. mit Übermittlung in die USA).

Zuständigkeiten zur gemeinsamen Verantwortlichkeit: Autonomo ist zuständig für Datenverarbeitungen im Rahmen der Finalisierung und Übergabe des virtuellen Warenkorbs. Zudem sind Autonomo und tegut… zuständig für bestimmte Datenverarbeitungen bei der Belastung des relevanten Zahlungsmittels bzw. bei der Weitergabe an Zahlungsdienstleister (im vorstehenden Absatz genannte Empfänger).

Kassenbons werden in alleiniger Verantwortlichkeit von tegut… erstellt, zur Verfügung gestellt und aufbewahrt (Art. 6 Abs. 1 b, c DSGVO, §§ 257 HGB, 147 AO).

f. Reklamation in einem tegut… teo mit Grab & Go Technik (Gemeinsame Verantwortung)

Soweit Sie eine Belastung über die dafür vorgesehenen Reklamationskanäle beanstanden, werden Ihre Artikel, Ihr Kaufdatum, Ihre Bon-Nummer und sonstige mitgeteilte personenbezogenen Daten mit den vorhandenen Bilddaten (dazu Ziffer 2.c.(2)) und dem virtuellen Warenkorb (dazu Ziffer 2.c.(2) und 2.d.) abgeglichen und verarbeitet, um Ihre Reklamation im Hinblick auf Ihren angegebenen Reklamationsgrund zu bearbeiten. Zudem wird Ihre - verpflichtend mitzuteilende - E-Mail-Adresse (und - soweit freiwillig mitgeteilt - Ihre Telefonnummer) verarbeitet, um mit Ihnen zur Reklamation zu korrespondieren, Ihre Bankverbindung hingegen, um etwaige Rückerstattungen veranlassen zu können.

Diese Datenverarbeitungen im Rahmen der Reklamation finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b DSGVO.

Zuständigkeiten zur gemeinsamen Verantwortlichkeit: Autonomo ist zuständig für Datenverarbeitungen im Rahmen der Bearbeitung von Reklamationen im Hinblick auf den Abgleich von Bilddaten und virtuellen Warenkorb. tegut… ist zuständig für Datenverarbeitungen im Rahmen der Bearbeitung von Reklamationen im Hinblick auf die Produktqualität sowie im Rahmen der Korrespondenz zu Reklamationen.

Soweit personenbezogene Daten nach einer berechtigten Reklamation zur Rückerstattung verarbeitet werden, geschieht dies in alleiniger Verantwortung von tegut… (Art. 6 Abs. 1 b DSGVO). Ebenso werden vorgesehene Reklamationskanäle (über Landingpage auf der Website, über die tegut… teo App) in alleiniger Verantwortung von tegut… betrieben (Art. 6 Abs. 1 b DSGVO).

g. Allgemeiner Kontakt zu tegut…

Wir verarbeiten Ihre Angaben zur Beantwortung Ihrer Kontaktanfragen. Es steht in Ihrem Ermessen, welche Daten Sie uns mitteilen. Jedenfalls die Mitteilung von Kontaktdaten ist jedoch erforderlich, um Ihr Anliegen bearbeiten und auf dem entsprechenden Kommunikationsweg beantworten zu können. Diese Datenverarbeitungen im Rahmen der Kontaktanfragen finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, f DSGVO. Soweit wir Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeiten, ist dies ein möglichst guter Service für Sie.

Für die Installation, Nutzung und das Erkennen von Fehlern in der tegut… teo App werden die folgenden Informationen generiert und automatisiert an unseren beauftragten App-Dienstleister übertragen und verarbeitet (Art. 6 Abs.1 b, f DSGVO, § 25 Abs. 2 Nr. 2 TTDSG): Installations-ID, Betriebssystem, Betriebssystem-Version, App-Version, Modellbezeichnung des Endgeräts, Datum und Uhrzeit der Anfrage. Soweit wir Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeiten, ist dies eine möglichst gute Funktionalität der App.

i. Protokollierung

Bei der Nutzung unserer tegut… teo App erfolgt durch uns eine temporäre Speicherung und Verarbeitung sog. Server-Logdaten zur Erbringung des App-Dienstes aus technischen Gründen und zur Sicherstellung der Systemsicherheit (Protokollierung). Zu diesen Daten, die wir auf Rechtsgrundlage Art. 6 Abs. 1 f DSGVO mit berechtigten technischen Interessen verarbeiten, gehören:

• IP-Adresse,
• App-ID,
• Datum und Uhrzeit des Server-Aufrufs,
• die von der App aufgerufene Funktion (URL),
• ggf. die Vorgangsdaten,
• die Meldung, ob der Funktionsaufruf erfolgreich war,
• die übertragene Datenmenge,
• die Dauer des Server-Aufrufs.

Diese Daten werden spätestens nach sieben Tagen anonymisiert. Eine weitere Auswertung dieser Daten erfolgt anonymisiert für statistische Zwecke.

j. Anzeige und Auswahl des/r tegut… teos

Wir möchten Ihnen bei der Suche nach unseren tegut… teos in Ihrer Nähe helfen und uns aus technischen Gründen eine eindeutige Zuordnung von tegut… teos ermöglichen.

Hierzu werden Ihnen Standorte unserer tegut… teos - je nach Betriebssystem Ihres mobilen Endgeräts - mit Kartendiensten von Google Maps der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA oder Apple Maps (bekannt auch als „Apple Karten“) der Apple Inc., Infinite Loop, Cupertino, CA 95014, USA (Betreiber) angezeigt und hierzu aus technischer Notwendigkeit auch personenbezogene Daten (z.B. IP-Adresse) verarbeitet (Art. 6 Abs. 1 f DSGVO). Unser berechtigtes Interesse ist dabei eine möglichst gute Funktionalität der App und eine eindeutige Zuordnung der tegut… teos. Weitere Informationen zum Umgang des jeweiligen Betreibers mit Ihren Daten finden Sie unter: www.google.com/intl/de_de/help/terms_maps.html sowie https://support.apple.com/de-de/HT203033. Soweit Sie sich zu einem tegut… teo über vorgenannte Kartendienste navigieren lassen möchten, erhält der gewählte Kartendienst nur den gewünschten Ziel-Standort, im Übrigen findet die Datenverarbeitung nicht in unserer Verantwortung statt.

Mit der Freigabe Ihres Standortes in Ihrem Endgerät ermitteln wir für Sie Ihre Entfernung zu unseren tegut… teos und ermöglichen Ihnen zudem den Zutritt zu einem tegut… teo (dazu oben einleitend Ziffer 2.b.) (Art. 6 Abs. 1 a DSGVO, § 13 TTDSG). Ihre Freigabe (Einwilligung) können Sie auch jederzeit in den Geräteeinstellungen Ihres mobilen Endgeräts erteilen und deaktivieren.

k. Coupons

Innerhalb der tegut… teo App können Ihnen in unterschiedlichen Abständen Coupons angezeigt werden, die Vergünstigungen für bestimmte Artikel oder Ihren gesamten Warenkorb beim Einkauf mit der tegut… teo App anbieten. Ob ein Coupon von Ihnen eingelöst wurde, wird in unseren Systemen hinterlegt. Diese Datenverarbeitungen im Rahmen der Einlösung von Coupons finden auf folgenden Rechtsgrundlagen statt: Art. 6 Abs. 1 b, f DSGVO, § 25 Abs. 2 Nr. 2 DSGVO. Soweit wir Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeiten, ist dies die Vermeidung von nicht vorgesehenen Coupon-Einlösungen.

3. Weitere Empfänger, Kategorien von Empfängern

Für die oben beschriebenen Zwecke werden auch beauftragte App-, IT-, Software-, Cloud- und Wartungs-Dienstleister eingesetzt (Art. 28 DSGVO), die im jeweils erforderlichen Umfang auch Zugriffe auf Ihre Daten nehmen können. Cloud-, Software- und IT-Dienstleister befinden sich in manchen Fällen auch in den USA bzw. Indien. Für einen angemessenen Datenschutz bei diesen eingebundenen Drittland-Dienstleistern wurden als geeignete Garantien die EU-Standardvertragsklauseln vereinbart. Kopien der Vertragsklauseln können Sie bei unserem Datenschutzbeauftragten (s. oben Ziffer 1.) erhalten. Dienstleister in den USA haben sich in der Regel zudem nach dem sog. EU-U.S. Data Privacy Framework zertifiziert, welches ein angemessenes Datenschutzniveau bescheinigt.

Seitens tegut… und Autonomo haben – in Ihrer jeweiligen Zuständigkeit der gemeinsamen Verantwortlichkeit – immer nur die Abteilungen bzw. Mitarbeiter – im jeweils erforderlichen Umfang – Zugriff auf Ihre Daten, die im Rahmen ihrer Aufgabenbeschreibung tatsächlich Zugriff nehmen dürfen und müssen. Soweit tegut… und/oder Autonomo vorgenannte Dienstleister in Ihrer jeweiligen Zuständigkeit der gemeinsamen Verantwortlichkeit einbinden, gilt entsprechendes.

Bei entsprechendem Anlass übermittelt tegut… an Strafverfolgungsbehörden, Geldwäschemeldestellen, Finanzbehörden, Gerichte und entsprechende Verfahrensbeteiligte Ihre personenbezogenen Daten (z.B. bei missbräuchlicher Nutzung des tegut… teo an Strafverfolgungsbehörden Daten aus Ihrem Zutrittsersuchen zum tegut… teo, s. oben Ziffer 2.b.), insbesondere zur Erfüllung einer rechtlichen Verpflichtung (Rechtsgrundlage: Art. 6 Abs. 1 c DSGVO in Verbindung mit einer entsprechenden verpflichtenden Norm) und/oder zur Geltendmachung, Ausübung oder Verteidigung unserer Rechtsansprüche (Rechtsgrundlage: Art. 6 Abs. 1 f DSGVO; mit entsprechendem berechtigten Interesse).

4. Pflichtangaben

Eine Nichtbereitstellung von als Pflichtangaben ausgewiesenen Daten durch Sie kann zur Folge haben, dass die Nutzung des tegut… teo bzw. der tegut… teo App nicht oder nicht im möglichen Umfang ermöglicht oder der angegebene Zweck nicht erreicht werden kann.

5. Speicherdauer und Aufbewahrungsfristen

Soweit oben nichts anderes angegeben, werden die übrigen personenbezogene Daten gespeichert, solange es für die jeweiligen Zwecke oder gemäß gesetzlichen Vorschriften erforderlich ist. Wegen bestehender Aufbewahrungspflichten werden bestimmte Daten bis zu 10 Jahren aufbewahrt (Art. 6 Abs. 1 c DSGVO, §§ 257 HGB, 147 AO). Die zeitlich begrenzten Zugriffsschlüssel in der tegut… teo App und auf Ihrem Endgerät (s. oben Ziffer 2.a.) werden beim Ausloggen automatisch gelöscht.

Über die Löschfunktion in den Einstellungen der tegut… teo App (Profil) können Sie zudem die Löschung Ihrer personenbezogenen Daten aus Ihrem tegut… teo Account anfragen. Sie müssen hierzu in der tegut… teo App eingeloggt sein.

6. Datensicherheit

Erforderliche Maßnahmen zur Datensicherheit werden getroffen.

7. Jederzeitiges Widerspruchs- und Widerrufsrecht

Wenn Sie für die Zukunft eine erteilte Einwilligung widerrufen (Art. 7 Abs. 3 DSGVO) oder der Verarbeitung Ihrer Daten für Werbezwecke (Art. 21 Abs. 2 DSGVO) oder aufgrund Ihrer besonderen Situation (Art. 21 Abs. 1 DSGVO) widersprechen möchten, genügt jederzeit eine kurze Nachricht an den Datenschutzbeauftragten von tegut… per E-Mail an datenschutzbeauftragter@tegut.com oder per Post an tegut… gute Lebensmittel GmbH & Co. KG, Abteilung Datenschutz, Gerloser Weg 72, 36039 Fulda.

Sie können die Rechte aber auch gegenüber der Autonomo GmbH (Kontaktdaten s. oben Ziffer 1.) geltend machen, soweit diese mit tegut… gemeinsam verantwortlich ist oder personenbezogene Daten in eigener Verantwortlichkeit verarbeitet. Zuständig für die Bearbeitung von Anfragen, die die gemeinsame Verantwortlichkeit mit Autonomo betreffen, ist jedoch tegut…

Die Rechtmäßigkeit der bis zum Widerspruch bzw. Widerruf erfolgten Verarbeitung bleibt dadurch unberührt.

8. Wahrnehmung Ihrer weiteren Datenschutzrechte

Außerdem haben Sie bei Vorliegen der gesetzlichen Voraussetzungen nach der DSGVO ein Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) und das Recht auf Datenübertragbarkeit (Art. 20). Bitte wenden Sie sich auch in diesen Fällen an den Datenschutzbeauftragten von tegut… unter den in Ziffer 7. genannten Kontaktdaten. Automatisierte Verarbeitungen im Sinne von Art. 22 DSGVO finden nicht statt.

Sie können die Rechte auch gegenüber der Autonomo GmbH (Kontaktdaten s. oben Ziffer 1.) geltend machen, soweit diese mit tegut… gemeinsam verantwortlich ist oder personenbezogene Daten in eigener Verantwortlichkeit verarbeitet. Zuständig für die Bearbeitung von Anfragen, die die gemeinsame Verantwortlichkeit von tegut… mit Autonomo betreffen, ist jedoch tegut…

Außerdem haben Sie das Recht auf Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO, § 19 BDSG).

9. Zugang zu weiteren Datenschutzinformationen

Weitere Datenschutzinformationen erhalten Sie direkt im tegut… teo (etwa im Hinblick auf unsere eingesetzte Videoüberwachung), bei der Nutzung des tegut… teo WLAN und in unseren Hinweisen zum Datenschutz unter www.tegut.com/datenschutz.

Bereits beim Herunterladen der App werden Informationen an den jeweiligen App Store (Google Play Store / Apple App Store, beide USA) übertragen. Auf diese Datenerhebung und -verarbeitung haben wir keinen Einfluss und sind nicht dafür verantwortlich. Die entsprechenden Informationen zum Datenschutz im jeweiligen App Store finden Sie im Apple App Store unter support.apple.com/de-de/HT210584 und im Google Play Store unter https://policies.google.com/privacy?hl=de.

10. Änderung der Verantwortlichkeit

Wir weisen darauf hin, dass von uns aktuell geprüft wird, den Betrieb der tegut… teo App und ggf. auch der tegut… teos auf eine andere, eigenständige Gesellschaft zu übertragen. Sollte dies tatsächlich umgesetzt werden und sollen dabei auch Ihre personenbezogenen Daten an die neue Gesellschaft weitergegeben und von dieser weiterverarbeitet werden, werden wir Sie informieren und erforderliche Rechtsgrundlagen sicherstellen.

11. Änderung der Datenschutzhinweise

Von Zeit zu Zeit ist es erforderlich, den Inhalt dieser Hinweise zum Datenschutz anzupassen. Wir behalten uns daher vor, diese jederzeit zu ändern, auch soweit es die gemeinsame Verantwortlichkeit trifft. Wir werden die geänderte Version der Datenschutzhinweise ebenfalls an dieser Stelle veröffentlichen.

Stand: November 2023